筆者はさる7月17日付けの Socially Aware blog「German Parliament Enacts Wide-ranging Surveillance Powers Allowing End User Devices to Be Hacked by Authorities」で、ドイツ連邦議会が刑事訴訟法上で予告なしに容疑者間の電子通信内容のスパイウェアによる傍受やデバイスのメモリーの捜査を可能とする法案を可決したというブログ記事を読んだ。
筆者としては、まずこの問題は単に刑事訴訟法といった手続法上の問題にとどまらず、ドイツ憲法にあたる「連邦共和国基本法(Grundgesetz für die Bundesrepublik Deutschland:GG)」違反の問題等をどう考えるかという疑問が湧いた。
米国の各ローファームの解説(注1)は、おおむね法案の概要は解説しているものの、(1)関係条文の具体的な規定内容、(2)連邦議会での与野党等各党派の意見、(3)ドイツ国内の人権擁護団体の見解等は見いだせなかった。 (注1-2)
したがって、筆者は上記疑問点につき独自に関係資料の調査を行い、概括的な内容ではあるが、今回のブログであえて紹介することとした。
取りまとめにあたり、まず今回の立法措置の前提となるドイツの連邦刑事庁(Bundeskriminalamt:BKA)や州刑事庁(Landeskriminalamt:LKA)等の捜査機関のスパウェア使用と憲法問題の議論は、2011年10月にドイツの国際的ハッカー集団(Chaos Computer Club:CCC)の告発に始まったことに関し、情報を整理した。
そこで本ブログでは、まず(1)CCCや弁護士などが指摘したドイツ主要州のスパイウェアの利用実態についての事実関係の整理、(2)セキュリティ・ソフトハウスであるSophosが提供するトロイの木馬(R2D2)の情報サイト、(3)ドイツで問題となった「いわゆる合法的とされる通信傍受源(Quellen-TKÜ)」 (注1-3)や「オンライン捜査(Online-Durchsuchung)」問題につき、問題点を整理した。これらの問題に関し、わが国ではまともな解説が皆無に近いにもかかわらず、その必要性はきわめて重要性をもってわが国の法執行機関等では秘密裡に検討されているであろう。
わが国では、いわゆる立法論ではなく、事実関係として捜査現場のニーズが優先する「GPS捜査の合法性」の最高裁判決(注2)でも見られるとおり、仮にわが国でドイツの州刑事庁のようなことが生じた時に、だれがどのように告発することになろうか。フォレンジック捜査の重要性を先取りした議論に寄与することが本ブログの第一目的である。
なお、この問題を取り上げるうえで約職員数5,500人以上をかかえる「ドイツ連邦刑事庁(BKA)」の権限、機能の正確な理解がポイントとなる。しかし、わが国では、BKAの詳しい解説は皆無であるし、さらにEU委員会内におけるForensic Science, Criminal Scienceの中心的研究機能を果たしていることを解説したものはない。
この問題だけでもかなりの大部なものとなるため、別途のブログで取りまとめることとする。
今回のブログは3回に分けて掲載する。
1.ドイツの州刑事庁(LKA)等捜査機関のオンライン捜査やスパウェア使用と連邦憲法裁判所の対応
2008年2月27日、連邦憲法裁判所(Bundesverfassungsgericht)は、ノルトライン・ヴェストファーレン州(Nordrhein‐Westfale)は連邦憲法違反を犯しており、'遠隔捜査'(オンライン捜査:Online-Durchsuchung:nline search/online surveillance)は非常に厳しい条件下でのみ許可されると判示した。
(1) 2011年10月にドイツの国際的ハッカー集団(CCC)の告発にはじまり、市民の厳しい追及もあり、メデイア、人権擁護NPO等を中心とする事実関係の調査が行われた。この事件の経緯を整理する。
欧州の人権擁護NPOが発行するStatewatch Journal volume 21 no 4, March 2012Analysis:「State Trojans: Germany exports “spyware with a badge”」(全7頁)を以下、仮訳する。
ドイツの連邦や州警察は、市民のインターネット活動を監視するソフトウェアの使用が、法律で許可されている範囲以上で行っている。また、警察との国境を越えた協力の非公式なワーキンググループ会議も開催している。
2005年以来、ドイツの州警察は、捜査目的で個人や団体等を遠隔型スパイを行うため、ソフトウェア(マルウェアやトロイの木馬)をコンピュータにインストールしている。 これらの活動のための法的根拠基盤は存在せず、前述のとおり、2008年2月27日、連邦憲法裁判所(Bundesverfassungsgericht:以下”BVerfG”という)は、'遠隔捜査'(オンライン捜査)は非常に厳しい条件下でのみ許可されると判示した。
ドイツでは「デジタル・プライバシー」の保護に強い市民運動があり、その事実の開示が民間のコンピュータや携帯電話を傍受する国家情報機関とセキュリティ機関に関する熱い論議を巻き起こした。
2011年10月、ドイツの世界的ハッカー団体カオス・コンピュータ・クラブ(Chaos Computer Club:CCC)は、彼らがコンピュータ(付録参照)にインストールされたトロイの木馬を見つけたとする調査結果を公表した。(本記事に詳細な付録参照資料としてCCC報告が添付されているが、本ブログでは内容訳は略す)
CCCによると、このマルウェアはスパイ活動を行うことができた。すなわち、CCCの分析によれば、このトロイの木馬は①キーストロークをログ記録するだけでなく、②スクリーンショットを撮ったり、②Skypeの会話内容を録音したり、③ウェブカメラやコンピュータマイクを起動することさえでき、人の家内で私的な出来事を調べることもできた。また、このマルウェアは対象者のコンピュータに「バックドア」を開き、ソフトウェアをインストールすることもできるとものとして構築されていた。
CCCは、ヘッセン州の民間ソフト開発会社DigiTaskによって作成されたこのソフトウェアは、内容が悪意にみちて設計されており、かつこのソフトウェアは第三者も使用できるというものであったと述べた。
CCCの情報開示に続いて、バイエルン州は、トロイの木馬の存在を認め、他の州もすぐに開示を続けた。当時の連邦法務大臣ザビーネ・ロイトホイサー=シュナレンベルガー(Sabine Leutheusser-Schnarrenberger(自由民主党:FDP)は調査を開始した。またドイツのメディア”Deutsche Welle”は、州における既知のトロイの木馬の使用状況について報告を行った。
州の内務大臣等は、バーデン=ヴュルテンベルク州(Baden‐Württemberg)、ブランデンブルク州(Brandenburg,)、シュレースヴィヒ=ホルシュタイン州(Schleswig‐Holstein )、ニーダーザクセン州(Land Niedersachsen)が、地方警察が法律の制限内でソフトウェアを使用していたと述べた。
公共放送局NDRによると、ニーダーザクセン州では、同ソフトウェアは2年間使用されていたと報じた。
ブランデンブルク州の捜査当局は、デイリー・ベルリン・モルゲンポスト紙に対し、使用スパイウェアを1つであるが、引き続き調査を行っていると述べた。バデッシュ・ツアィツング紙はバーデン=ヴュルテンベルク州は個別事案においてこのようなソフトを使っていると報じた。
ノルトライン・ヴェストファーレン広域州西部地区の内務担当大臣は、2つの事例でソフトウェアを使用したが、両者とも裁判官の承認の得ていると述べ、ニュース通信社DPAによると、これら2件とも重大な麻薬犯罪事件であると報じた。
バイエルン州南部地区の当局者は、自州の捜査機関が2009年以降スパイウェアプログラムを使用していると述べた。これら4つの州すべてが同じソフトウェアを使用していたかどうかは不明である。
連邦刑事庁(BKA)の長官ヨルグ・ツイカー(JörgZiercke)は素早く地方警察の刑事警察がこのプログラムの使用を断念したと述べた。
ツイカーは初めは何も言わなかったが、連邦議会左派党(DieLinke)からの質問を受けて、バーデン・ヴュルテンベルク州とバイエルン州の警察官だけでなくという、ベルギー、オランダ、スイスが参加するDigiTaskソフトウェアユーザーのための非公式のワーキンググループが活動していることが明らかとなった。
このワーキンググループは、最初は「DigiTask Userグループ」と呼ばれて3年間活動していた。それは後に「リモート・フォレンジック・ソフトウェア・ユーザー」に改名した。
同グループは年に2回会合し、議会議員はその存在を認識していなかった。
連邦議会が、この非公式の国際作業部会の存在を知る前に、DigiTaskはドイツのメディアに対し、このソフトウェアが他国に売却されたと語った。
オランダの自由党(D66)は法務大臣にソフトウェアがオランダで使用されているかどうかを尋ねたが、その回答は保留中である。
刑事訴訟事件でも、これらのソフトの運用に関する情報が公開されている。
スイスの2人の左翼活動家が、ニュールンベルクのサーバーを使って暗号化していたため、スイス警察とニュールンベルグ警察がハードウェアとソフトウェアを使用してサーバーを経由するすべての通信をキャプチャする「ディープ・パケット・インスペクション(deep packet inspection)」(注3)を行っていたことが明らかになった裁判事件がある。
法的ファイルとして、スイスとバイエルンの警察の間でDigiTaskソフトウェアを使用し、誰が履行し費用を分担するかについて議論していた。しかし、このような非公式の作業部会が国際的な共同作業の調整にも使用されているかどうかは不明である。
(2) Naked Security「ドイツの 'Government' R2D2 Trojan FAQ 」解説
同サイトは、セキュリティソフトハウスであるSophosが提供する情報解説サイトである。CCCの解析を補完する意味でも参考となる内容なので、参考までに概要を仮訳する。 2011年10月10日に掲載されたものである。
① これはあなたが探す”R2D2”ではない、何が起きたのか?
Skypeインターネット通話を監視し、感染したコンピュータのオンライン活動を監視し、キーストロークを記録し、ネット経由でその機能を更新する「トロイの木馬」が発見された。。
ほとんどのウイルス対策ベンダーが「R2D2」と呼んでいるが、「0zapftis」または「Bundestrojaner」とも呼ばれるこのトロイの木馬は、世界的に有名なハッカー集団Chaos Computer Club(CCC)によって発表された。
② なぜこのトロイの木馬はR2D2と呼ばれるのか?
この名前は、トロイの木馬のコードの中に埋め込まれた文字列から来ている。
C3PO-r2d2-POE
③ CCCはどこからそのマルウェアを取得したのか?
ドイツの弁護士Patrick Schladt(パトリック・シュラド)は、メディアに対し、自身のクライアントのコンピュータのハードディスクに法執行機関がインストールしたトロイの木馬が見つかったと伝えた。
このマルウェアは、ミュンヘン空港の通関管理を通過する際に、コンピュータにインストールされたとされたと述べた。シュラドは、医薬品に関連しドイツの法律を適用される責任から顧客を守っていた。
容疑者とされた人物と同社の法律チームがデジタル証拠を調べたところ、彼らはトロイの木馬が存在することを示唆する証拠を見つけ、そのハードディスクは シュラドのクライアントの許可を得てCCCと共有した。
CCCはフォレンジック・ソフトウェアを使用して、削除されたファイルをハードドライブから復元し、R2D2トロイの木馬を発見した。
④ なぜこのトロイの木馬はニュース価値があるのか?
CCCは、マルウェアがBKAやLKAなどのドイツの法執行当局のために作成され、使用されていることを示している。さらに、シュラドは、税関部門がマルウェアのインストールにも関与していたと主張する。
⑤ BKAとLKAはどのような機関をさすのか?
連邦刑事庁(BKA)はドイツの連邦犯罪捜査機関であり、また州捜査局として働く16の州刑事局(LKAs:Landeskriminalamt)が全国にある。
BKAは、CCCによって明らかにされたファイルは自身はそれらには関与していないと述べた。もちろん、BKAが他の場合にスパイウェアを使用していないことは言うまでもない。今回の場合、マルウェアへの接続を正式に拒否しているというだけである。
連邦政府の広報担当者Steffen Seibertは、BKAの関与を否定するためにTwitterを使用した。
一方、この問題につきLKA部門はコメントしていない。スパイウェアを使用する警察は議論の余地があると思う 。
そうです。 あなたは、プライバシー擁護者が、警察の捜査官がユーザの認識なしにコンピュータの活動を偵察できるという考えのもとに、なぜこのような神経過敏になるのかを想像することができよう。
************************************************************
(注1) 次の米国ローファーム・サイトが本件を取り上げている。
①2017.7.17 Socially Aware blog「German Parliament Enacts Wide-ranging Surveillance Powers Allowing End User Devices to Be Hacked by Authorities」
②
2017.6.26 Morrioson Foester「German Parliament Enacts Wide-ranging Surveillance Powers Allowing End User Devices to Be Hacked by Authorities」
③2017.6.27 WSWS「German parliament agrees to massive expansion of digital surveillance」
(注1-2) 筆者は、本ブログの取りまとめに当たりEUの関係機関の検討状況も合わせて調査した。その中で欧州議会事務局・域内政策局・政策部(Directorate-General for Internal Policies of the Union:Policy Department)が、「市民の自由・司法・内務委員会(LIBE委員会)」の要請を受けて取りまとめた研究報告(2017年4月6日公表)「法執行機関によるハッキングの法的枠組み:実践された内容の特定、評価、比較(Legal Frameworks for Haching by Law enforcement : Identification, Evaluation and Comparison of Practices)」を見出した。
その要旨および本文を斜め読みした結果を踏まえ、仮訳すると次のとおりとなる。
「この研究(LIBE委員会の要請により市民権、憲法情問題にかかる欧州議会・域内政策局がまとめたもので、法執行によるハッキング技術利用に関する確固たる政策提言を行うとの観点から取り組んだ。これら提言は、EU加盟6か国(フランス、ドイツ、イタリア、オランダ、ポーランド、英国)および非加盟3ヵ国(オーストラリア、イスラエル、米国)における法執行機関におけるハッキングに関する法的枠組みの研究から導きだしたもので、同分野における執行機関の市民権への介入に関し、トピックスとEUの法的根拠につき国際およびEUレベルでの討議結果との統合を踏まえたものである。」
いずれにしても、前記報告は全142頁ものであり、時間と手間はかかるが、わが国の関係者としては、正確な分析は必須のテーマと内容であり、改めて仮訳作業を試みたい。
なお、域内政策局の主な任務は次のとおりである。
① 主に17の委員会と1つの暫定委員会の事務局を設けることにより、内部政策分野における議会委員会の立法および非立法活動の円滑な運営を確保する。
② 主に委員長の会議を通じて議会の立法活動を調整する。
③ 委員会委員、特に委員長と報告者を任務の遂行に支える。
④ 委員会、その他の議会機関、大統領府に、内部政策の分野における議会の活動のすべての側面に関する説明、背景記録、長期調査を提供する。
⑤ 委員会および委員会との緊密な協力の下に委員会が作業プログラムを開発するのを支援する。
⑥ 議会でのより良い法律作成に関連するすべての活動の促進と調整。
(注1-3) ”Quellen-TKÜ”とは正式にいうと”Quellen-Telekommunikationsüberwachung”である。英語に訳すと「合法的傍受(lawful interception)源」ということになる。(オンライン独英辞書dict.cc参照)
(注2) 詳しくは、平成29年3月15日 最高裁判所大法廷 「窃盗,建造物侵入,傷害被告事件 」判決を参照されたい。
また同判決の解説例として次のものが閲覧可である。しかし、将来的課題として本ブログで取り上げた犯罪捜査とオンライン捜査やQuellen-TKÜ問題までは言及していない。最近筆者の手元にとどいた「法とコンピュータNo.35《特集 人工知能が社会にもたらすもの》」(学会誌)を読むにつれ、学会レベルで取り上げるテーマなのか。
①2017.3.19 はびきの未来法律事務所「GPS捜査を違法とした最高裁判例(最高裁平成29年3月15日判決)
② NPO Institute of Digital Forensicレポート「第457号コラム「『GPS捜査』最高裁判決とその影響の検討」
③ TKC ローライブラリー2017年6月2日掲載「GPS 捜査が憲法 35 条の保障する権利を侵害する強制処分とされた事例」
(注3) ディープ・パケット・インスペクション(Deep Packet Inspection、DPI)はコンピュータネットワークのパケットフィルタリングの一種で、インスペクションポイントをパケットが通過する際にパケットのデータ部(と場合によってはヘッダ部)を検査することをいう。プロトコルに準拠しているかとか、コンピュータウイルスではないか、スパムではないか、侵入ではないか、あるいは何らかの基準に照らしてそのパケットを通過させるかを判断したり、それとも別の宛先に転送するかを判断したり、統計情報を収集したりといった目的で行われる。(Wikipediaから抜粋)
**************************************************************************
Copyright © 2006-2017 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
コメント
コメントを投稿